来源:http://www.hengtaiboyuan.com 作者:恒泰博远 时间:2014-07-09
糟糕的设计决策可能会使得恶意软件感染,研究人员从CERT/ CC的说
与AVG安全搜索,反病毒厂商AVG Technologies公司一个浏览器工具栏这应该保护用户免受恶意网站的执行问题,可能允许远程攻击者的计算机上执行恶意代码。
该工具栏,也称为AVG保障,支持谷歌Chrome,Internet Explorer和Windows XP及更高版本上运行Mozilla Firefox浏览器,并经常捆绑在一起作为一个可选的安装与流行的免费软件程序。
[现在是时候重新考虑安全性。两位前CIO们告诉你如何rething当今世界的安全策略。奖励:可在PDF和电子书版本。 |随时掌握最新的安全发展与InfoWorld的安全中心的通讯。 ]
据研究人员从CERT协调中心(CERT / CC)在卡内基·梅隆大学,版本18.1.6及以上的AVG安全搜索和AVG安全警卫安装ActiveX控件在Internet Explorer中称为ScriptHelperApi暴露敏感功能的网站。
“这种控制内部不实施任何限制哪些网站可以调用它的方法,如使用SiteLock模板,说:”在CERT/ CC的漏洞分析师Will杜曼,在周一发表的一份安全公告。 “这意味着,任何网站可以调用由ScriptHelper ActiveX控件公开的方法。”
此外,在安装时,ScriptHelper自动放置预先核准的ActiveX控件的列表上在系统注册表中,绕过第一个在Internet Explorer7,提示用户进行确认执行ActiveX控件之前推出一项安全功能。它也被排除在IE的保护模式,一个安全沙箱机制,杜曼说。
所有这些条件有可能使攻击者执行恶意代码谁拥有安装AVG安全搜索存在漏洞的版本的用户的计算机上,如果用户打开特制的HTML网页,在IE浏览器电子邮件或附件。流氓代码将与登录用户的权限执行,杜曼说。
AVG的AVG安全搜索18.1.7.598固定的安全问题和AVG保障18.1.7.644五月公布。目前尚不清楚,如果工具栏更新自身,因此用户应该确保他们下载并安装最新版本,如果他们打算继续使用它。
AVG没有立即回应记者的置评请求。
据杜曼,这AVG安全搜索缺陷是捆绑了免费软件的第三方程序如何很好的例子 - 俗称用户之间的广告软件,或的英国媒体报道foistware - 可以增加互联网用户的安全风险。
“自由软件并不总是免费的,”杜曼警告说,他在其中描述的一个博客文章如何他企图通过Download.com下载并安装一个流行的视频播放器,结果导致4时和安装过程之后被提供的第三方程序,留给他一个“近不稳定”的操作系统。
“如果你必须使用已知的广告软件捆绑到他们的安装服务,特别注意安装步骤,以确保选择不提供任何额外的软件选择,”杜曼说。 “即使安装应用程序,如Oracle的Java或Adobe的Flash,可能会导致不必要的软件,比如浏览器工具栏,如果你不小心。”
一个保持安全在互联网上的策略包括降低计算机的攻击面通过限制安装的应用程序,可以有针对性的数量,杜曼说。 “更多的软件不是解决办法,它就是问题所在。
本文链接:http://www.hengtaiboyuan.com/jsdt/content_231 转载请注明来自北京恒泰博远科技有限公司
您的位置 :